Кибербезопасность и продуктовая экспертиза | Станислав Грибанов

❗️ТОП 9 Кейсов использования NDR по мнению Stellar Cyber

1⃣ Детектирование горизонтального перемещения (Lateral movement)
Продвинутые NDR могут делать это автоматически, также есть возможности детекта в ручную при работе с агрегированными событиями и таймлайнами.

2⃣ Детектирование компрометации учетных записей
С этим хорошо справляются поведенческие модели.

3⃣Снижение ущерба и ускорение реагирования на атаки через программы-вымогатели (Ransoware)
Один из самых спорных кейсов на мой взгляд. Конечно, поведенческие модели могут задетектить отклонение в поведении хоста, но чтобы снизить ущерб нужно автоматически блокировать аномалии. Что применяется достаточно редко, ввиду высоких рисков.
Для детектирования использования известных уязвимостей, хорошо подходит поведенческая модель для сигнатур, которая покажет если с одного хоста идут массовые попытки эксплуатации одной известной уязвимости.

4⃣ Детектирование инсайдеров
Аналогично второму кейсу, хорошо подходят поведенческие модели.

5⃣Детектирование вредоносного ПО (Malware)
Для детекта zero-day или редко используемого вредоносного ПО используются поведенческие модели. Из базовых технологий может использоваться IDS и данные hash антивирусных баз.

6⃣Детектирование фишинговых атак
Здесь NDR может использовать машинное обучение для проверки доменов ссылок на предмет использования DGA.
Также используются данные IoC от TI, и желательно от нескольких.

7⃣Детектирование коммуникаций с C&C
Один из любимых кейсов применения машинного обучения в NDR.

8⃣Детектирование эксфильтрация данных
Считаю один из самых недооцененных кейсов. Кажется достаточно простая угрозы, но базы с ПД постоянно утекают в руки мошенников. Хорошо детектится поведенческими моделями.

9⃣Консолидация инфраструктуры ИБ
Интеграция с другими компонентами ИБ - SOAR, NAC, NGFW, EDR повышает защищенность и позволяет максимального использоваться сильные стороны различных СЗИ. Как для блокирования атак, и для обогащения инцидентов и проведения расследований.


Считаю, здесь не хватает одного очень важного кейса, с которого и начинается безопасность в сети - видимость того, что реально происходит в сети.

Please open Telegram to view this post

VIEW IN TELEGRAM

www.tgoop.com/CyberSecProducts/69

105 viewsedited  Jan 20 at 16:27

❗️ТОП 9 Кейсов использования NDR по мнению Stellar Cyber

1⃣ Детектирование горизонтального перемещения (Lateral movement)
Продвинутые NDR могут делать это автоматически, также есть возможности детекта в ручную при работе с агрегированными событиями и таймлайнами.

2⃣ Детектирование компрометации учетных записей
С этим хорошо справляются поведенческие модели.

3⃣Снижение ущерба и ускорение реагирования на атаки через программы-вымогатели (Ransoware)
Один из самых спорных кейсов на мой взгляд. Конечно, поведенческие модели могут задетектить отклонение в поведении хоста, но чтобы снизить ущерб нужно автоматически блокировать аномалии. Что применяется достаточно редко, ввиду высоких рисков.
Для детектирования использования известных уязвимостей, хорошо подходит поведенческая модель для сигнатур, которая покажет если с одного хоста идут массовые попытки эксплуатации одной известной уязвимости.

4⃣ Детектирование инсайдеров
Аналогично второму кейсу, хорошо подходят поведенческие модели.

5⃣Детектирование вредоносного ПО (Malware)
Для детекта zero-day или редко используемого вредоносного ПО используются поведенческие модели. Из базовых технологий может использоваться IDS и данные hash антивирусных баз.

6⃣Детектирование фишинговых атак
Здесь NDR может использовать машинное обучение для проверки доменов ссылок на предмет использования DGA.
Также используются данные IoC от TI, и желательно от нескольких.

7⃣Детектирование коммуникаций с C&C
Один из любимых кейсов применения машинного обучения в NDR.

8⃣Детектирование эксфильтрация данных
Считаю один из самых недооцененных кейсов. Кажется достаточно простая угрозы, но базы с ПД постоянно утекают в руки мошенников. Хорошо детектится поведенческими моделями.

9⃣Консолидация инфраструктуры ИБ
Интеграция с другими компонентами ИБ - SOAR, NAC, NGFW, EDR повышает защищенность и позволяет максимального использоваться сильные стороны различных СЗИ. Как для блокирования атак, и для обогащения инцидентов и проведения расследований.


Считаю, здесь не хватает одного очень важного кейса, с которого и начинается безопасность в сети - видимость того, что реально происходит в сети.